Hotels laden zum Datenklau ein?!

Aus aktuellem Anlass gibt es einen kurzen Podcast zum Thema Datenschutz und Sicherheit in Hotels. Anlass war der Artikel auf Welt.de und die These darin, dass Datenunsicherheit symptomatisch für die ganze Hotellerie ist.

DatenUNsicherheit ist symptomatisch für die ganze Hotellerie

Valerie: Auf welt.de habe ich einen Artikel mit dem Titel “„Nirgendwo fliegen Daten so ungeschützt rum wie im Hotel“” gelesen. Daraus zitiere ich:

„Wir haben Dutzende Hotels gesehen, da war der Name zum Einloggen noch immer „admin“ und das Passwort ebenfalls „admin“, sagt Waldmann: „Bei uns hießen die nur noch die Admin-admin-Hotels“. So stiefmütterlich würde Datenschutz in kaum einer anderen Branche behandelt, glaubt Waldmann: Dass es oft schon an einfachster Passwortsicherheit fehle, sei „symptomatisch für die ganze Hotellerie“.

Da sagt Max Waldmann zum Teil etwas Wahres. Ich behaupte mal vor der DSGVO fiel das einfach nicht so auf. Was meinst du dazu?

Ingo Busch: Ja und Nein.

Unter IT-Profis ist das Problem der schwachen – oder im schlimmsten Fall vollkommen nutzlosen – Passwörter seit Ewigkeiten bekannt und ein Dorn im Auge. Es ist aus professioneller Sicht daher vollkommen egal, ob der Benutzer „admin“ auch das Passwort „admin“ hat oder das Passwort am Bildschirm klebt.

Mit Sicherheit ist es so, dass mit der DSGVO das Bewusstsein für den Datenschutz und für Datensicherheit gewachsen ist. Das betrifft Unternehmen genauso, wie jeden einzelnen Mitarbeiter. Allerdings wird die DSGVO und der Datenschutz zum einen eher als Bremsklotz gesehen und zum anderen wird der Datenschutz – leider – noch nicht in allen Unternehmen aktiv gelebt. Da ist die Hotellerie mit Sicherheit keine Ausnahme.

Generell ist es auch seit der DSGVO immer noch so, dass Unternehmen und deren Mitarbeitern nicht immer wirklich klar ist, wie sensibel die ihnen anvertrauten Daten sind. Immerhin wird in Hotels nicht nur mit den Namen der Gästen hantiert, sondern auch mit Kreditkarten-Nummern und zum Teil Passdaten! Und wie Max Waldmann vollkommen richtig sagt, werden auch die Vorlieben der Gäste festgehalten und gespeichert. Letzteres sehe ich als Datenschützer prinzipiell schon kritisch. Umso mehr sollten daher Hotelliers  den Datenschutz und die Datensicherheit ernst nehmen, damit solche Daten nicht in Fremde Hände – auch im eigenen Haus (!) – gelangen.

Ein gesundes Misstrauen ist essentiell

Valerie: Sehr wichtig für Datensicherheit im Hotel ist auf jeden Fall der Faktor Mensch. Darüber hab ich mit Tim Berghoff im Podcast „IT Sicherheit in der Hotellerie“ gesprochen.

Da gehören ganz einfache Sachen dazu:

  • Wie gehe ich mit Leuten um die vor der Rezeption stehen, die ich nicht kenne und die behaupten einen Termin mit irgendjemand zu haben? Oder die behaupten, sie müssten an irgendwelche Schaltschränke.
  • Wie gehe ich mit einer E-Mail um, in der eine angebliche Mahnung als PDF im Anhang eingeht?
  • Wem muss ich überhaupt Bescheid sagen, wenn irgendwas passiert ist?

Was meinst du, wie hat sich das bei Marriott bzw. Starwood zugetragen?

Wie lässt es sich lösen?

Ingo: Ich beteilige mich nur ungern an Spekulationen. Daher möchte ich mich auch in diesem Fall nicht an Spekulationen beteiligen. Einer Meldung von Heise Online zufolge vermuten US-Ermittler hinter dem Datenklau bei Marriott einen chinesischen Geheimdienst. Da US-Regierungsmitarbeiter und Militärangehörige auch häufig in Starwood- bzw. Marriott-Hotels übernachten war man wohl in China primär an diesen Datensätzen interessiert. Ich halte das auch für plausibel.

Um auf die Fragestellungen von Tim Berghoff einzugehen kann ich nur empfehlen, das jedem Mitarbeiter eines Hotels – und nicht nur in Hotels – klar sein sollte, dass nicht jedem Fremden einfach Zutritt gewährt wird. Vor allem nicht zur kritischen Infrastruktur, wie z.B. Serverräumen. Wenn sich daher ein Fremdunternehmen nicht vorab angemeldet hat und klipp und klar mitgeteilt hat, warum Zutritt begehrt wird, sollte man diese nicht hereinlassen.

Bezüglich Phishing-Mails und anderer Gefahren für die IT-Sicherheit müssen alle Mitarbeiter geschult werden und das nicht nur einmalig, sondern immer wieder. Schließlich ändern sich Angriffsmuster oder komplett neue Angriffsmethoden tauchen auf. Daher sollte es in jedem Unternehmen jemanden geben, der sich dem Thema IT-Sicherheit widmet und grundsätzlich als Ansprechpartner zur Verfügung steht. Dazu gehört auch, dass jeder Mitarbeiter sich an diese Person mit vermeintlich simplen Fragen zur Datensicherheit an diesen Ansprechpartner wenden kann.

Vorsorge-Maßnahmen statt Datenklau!

Valerie: Ist es möglich vorab herauszufinden, ob ein Datenklau stattgefunden hat? Wenn ja wo? Und wenn es sich bestätigt, wie geht man vor?

Ingo: Ob eine E-Mail-Adresse Datendieben in die Hände gefallen ist, lässt sich relativ einfach auf der Website „have i been pwned?“ herausfinden. Auch das Hasso-Plattner-Institut stellt mit dem „HPI Identity Leak Checker“ ein ähnliches Tools zur Verfügung.

Wenn ich feststelle, dass meine E-Mail-Adresse in falsche Hände geraten ist, sollte ich bei allen Plattformen, bei denen ich die E-Mail-Adresse verwende die Passworte ändern. Bei der Nutzung von „have i been pwned?“ kann ich mir eventuell ein wenig Arbeit sparen, da ich bei einem Treffer auch erfahre, wo meine E-Mail erhackt worden ist. Daher sollte ich bei diesem Dienst zuerst mein Passwort ändern.

Generell sollten man dazu über gehen, ein Passwort nicht mehrfach zu verwenden. Sprich: Für jeden Dienst ein separates Passwort zu verwenden. Das klingt nach viel Arbeit und einem hohen Aufwand, sich diese Passwörter zu merken. Allerdings helfen einem hierbei zum einen das gute alte Notizbuch oder noch viel bessere und bequemer Passwort-Manager, die es auch plattform-übergreifend gibt, damit man ein und dieselbe – verschlüsselte – Passwortdatenbank auf dem PC, wie auch auf dem Smartphone nutzen kann.

Persönlicher Datenschutz gehört zur Digitalisierung

Valerie: Der aktuelle Aufhänger des Welt-Artikels war ja auch der Hackerangriff auf Politiker und Prominente.

Glaubst Du, dass die Betroffenen möglicherweise auch ein wenig selbst schuld sind, dass ihre Daten nun in der Öffentlichkeit verbreitet wurden?

Ingo: Bei dem sogenannten Hackerangriff handelt es sich meiner Meinung nach – und an dieser Stelle spekuliere ich doch – NICHT um einen klassischen Hackerangriff. Ich denke, wir sollten besser von einem umfangreichen Leak sprechen. Denn so wie sich die Lage darstellt, wurden über lange Zeit gestohlene Daten aus den verschiedensten Quellen zusammen getragen. Vielleicht sind Teil dieser Sammlung auch Daten, die Hotels abhanden gekommen sind. Teilweise wurden die Daten dieser Sammlung dann möglicherweise auch für diverse kleine Hacks genutzt, um zum Beispiel an Chat-Verläufe zu gelangen.

Ich gehe sogar soweit, dass den betroffenen Personen zum Teil ihre Sorglosigkeit im Umgang mit der IT-Sicherheit zum Verhängnis geworden ist. Das soll nicht heißen, dass ich kein Mitleid habe. Aber die betroffenen Prominenten und Politiker sollten sich den Schuh anziehen, dass sie die gleichen Fehler in der Vergangenheit begangen haben, wie viele ihrer Fans und Wähler: Unsichere Passworte, wiederkehrende Nutzung dieser Passwörter und der Verzicht auf Zwei-Faktor-Authentifizierung!

Über den Interviewpartner: Ingo Busch, Datenschutzbeauftragter

Ingo Busch ist gelernter Fachinformatiker und langjähriger IT-Projektleiter. Als freier Datenschutzberater unterstützt er Unternehmen bei der Umsetzung des Datenschutzes und ist auch als externer Datenschutzbeauftragter tätig. Nebenbei kümmert er sich als “Blog-Doktor” um WordPress-Websites und Blogs diverser Blogger und Unternehmen. Auf seiner Website datenschutz-beratung-koeln.de bloggt er zu Datenschutzrelevanten Themen.

author avatar
Valerie Wagner Journalistin & Podcasterin
… und ich bin leidenschaftliche Podcasterin und Journalistin. Ich hoste vier Podcast-Sendungen. Zwei produziere und hoste ich selbst: Die Podcast-Reportage ist ein Interview-Podcast in dem ich mit interessanten Menschen und Experten spreche. Im Text & Podcast Podcast zeige ich dir wie du einen Podcast startest und dran bleibst. Im Format Follows Story Podcast den ich mit Heike Stiegler co-hoste, geht’s um Geschichten. Und im Die Büchestaplerinnen-Podcast spreche ich regelmäßig mit Antje Tomfohrde über Bücher. Außerdem schreibe ich journalistische Texte für Magazine und bin Mitglied im Redaktionsteam des DFJV-Podcasts.

Folge mir auf:


Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert